In Providernetzen ist Mandantenfähigkeit keine neue Eigenschaft. Provider bedienen eine Vielzahl von Kunden. Diese Kunden teilen sich die Providernetze, ohne darüber miteinander kommunizieren zu können. Dasselbe physische Netz dient dabei als Basis verschiedener logischer Netze. Jedem Kunden wird sein eigenes logisches Netz zugewiesen. Die logischen (virtuellen) Netze sind voneinander getrennt.

Jedem Kunden erscheint das über die Infrastruktur des Providers gespannte Netz als ein „privates“. So hat sich der Begriff Virtual Private Network (VPN) etabliert. Zum Beispiel bedeutet MPLS-VPN ein virtuelles privates Netz, das gemäß dem Verfahren Multi-Protocol Label Switching (MPLS) konfiguriert ist. MPLS basiert auf Standards der Internet Engineering Task Force (IETF). Die meisten mandantenfähigen Providernetze nutzen MPLS.

Auch in einer Reihe von Unternehmensnetzen müssen verschiedene virtuelle Netze voneinander getrennt werden. Seit Jahren ist dies zum Beispiel in Flughafennetzen der Fall. Verschiedene Flughafenbereiche, aber auch Fluglinien und Sicherheitsorganisationen, bekommen in einem Flughafennetz ihre eigenen logischen Netzbereiche, die von anderen logischen Netzbereichen im selben physischen Netz strikt getrennt sind. Diese Trennung verschiedener „Mandanten“ müssen immer mehr Campusnetze von Unternehmen unterstützen. Typische Mandanten sind die Gebäudeautomatisierung und die industrielle Fertigung. Mit der zunehmenden Digitalisierung kommt es zu immer mehr intelligenten („smarten“) vernetzten „Dingen“. Wir sprechen vom „Internet of Things“ (IoT). Dabei ist dieser Begriff irreführend. Denn diese Dinge, wie zum Beispiel ein Industrieroboter, sollen nicht an das Internet angeschlossen werden. Genauso wenig sollen alle diese Dinge über ein einziges neues „Internet“ erreichbar sein. Vielmehr gibt es eine Vielzahl von in sich geschlossenen Netzen mit daran angebundenen Sensoren, Aktoren, Steuerungen, Messgeräten, Kameras usw. „Smart Everything“ bedeutet nicht, dass alle mit allen kommunizieren sollen. Der Patient, der über das Krankenhausnetz Netflix-Filme konsumiert, darf nicht auf die Systeme im Operationsbereich zugreifen.

Interessen der Netzverantwortlichen und Interessen der Hersteller

Die für ein Netz Verantwortlichen sind an bestimmten Eigenschaften des Netzes stark interessiert. Neben Mandantenfähigkeit sind es zum Beispiel Sicherheit, Leistungsfähigkeit, Verfügbarkeit, Skalierbarkeit, Zukunftssicherheit, Beherrschbarkeit, Benutzerfreundlichkeit und Wirtschaftlichkeit. Die Erfahrung hat vielen Netzverantwortlichen gelehrt, dass sie sich beim Netzdesign am besten an herstellerunabhängigen Standards orientieren sollen. Wer möchte schon eine kritische Infrastruktur verantworten, deren Kosten und Zukunft von der geschäftlichen Situation und vom Gutdünken eines einzigen Herstellers abhängen?

Dass Hersteller von Netzkomponenten andere Interessen haben, ist bekannt. Jeder marktwirtschaftlich orientierte Hersteller strebt Profitmaximierung an. Dazu kommen einige Hersteller immer wieder auf die Idee, ihren eigenen Kunden den Wechsel zu einem anderen Hersteller möglichst zu erschweren. Solchen Herstellern bietet dazu jede neue Anforderung neue Chancen. Mit der Mandantenfähigkeit verhält es sich nicht anders. Herstellerunabhängige Standards werden immer für bekannte Anforderungen entwickelt, in vielen Fällen in einem langwierigen Prozess. Deshalb gibt es immer wieder neue Anforderungen, die von bestehenden herstellerunabhängigen Standards nicht oder nicht optimal erfüllt werden. Das ist die Lücke, in die Hersteller vorpreschen können, um Lösungen mit Alleinstellungsmerkmalen zu verkaufen.

Vielleicht fragen Sie sich, ob es sich beim Begriff „herstellerunabhängiger Standard“ nicht um eine Tautologie handelt. In vielen technischen Gebieten, so auch bei Netzen, gibt es leider auch Standards, die sich nicht herstellerübergreifend etablieren. Beispiele sind solche Netzstandards, welche die Herstellerauswahl stark eingrenzen, in der Praxis oft auf einen einzigen Hersteller. Dieser nennt die Spezifikationen des entsprechenden Standards und weist die Einstufung der eigenen Lösung als „proprietär“ von sich. Für den Kunden bleibt die Lösung herstellerspezifisch, auch wenn sie nicht proprietär im engeren Sinne ist. Denn ein Herstellerwechsel ist mit einem Lösungswechsel verbunden.

Lösungen für Mandantenfähigkeit

Seit über einem Jahrzehnt gibt es den Wettbewerb zwischen verschiedenen Lösungen für die Mandantenfähigkeit in Unternehmensnetzen. In den vergangenen zehn Jahren sahen wir so manche Lösung kommen und wieder in Vergessenheit geraten. Einige Standards beschäftigten zunächst mehrere Hersteller, um letztlich nur von wenigen oder gar einem einzigen Hersteller implementiert zu werden. Beispiele für Standards ohne breite Herstellerunterstützung sind Shortest Path Bridging (SPB) und Locator / Identifier Separation Protocol (LISP).

Wie eingangs erwähnt, sind die Providernetze den Unternehmensnetzen in Sachen Mandantenfähigkeit Jahre voraus. Provider orientieren sich stärker als andere Unternehmen an herstellerunabhängigen Standards. Viele Standards für Providernetze sind unter Mitwirkung von Providern (d.h. Netzbetreibern) entstanden. Das ist bei Unternehmensnetzen häufig anders. Netzbetrieb ist das Kerngeschäft der wenigsten Unternehmen. Deshalb leisten es sich die wenigsten Unternehmen, Mitarbeiter für die Entwicklung von Netzstandards abzustellen. Das sind nicht die besten Voraussetzungen für die Etablierung von herstellerübergreifenden Standards als Basis von unternehmensinternen Netzen. Ausnahmen wie Ethernet bestätigen die Regel.

Die Frage ist, ob man für Mandantenfähigkeit in Unternehmensnetzen andere Lösungen braucht als seit Jahren in Providernetzen erprobte und bewährte, insbesondere andere Lösungen als MPLS. Einige führende Hersteller bejahen diese Frage. Das sind dieselben Hersteller, die ihre Kunden drängen, für mandantenfähige Netze auf spezifische Lösungen des Herstellers zu setzen. Dafür gibt es immer auch eine technische Begründung. Von der Bewertung solcher Begründungen müssen wir an dieser Stelle absehen, um uns einem weiteren wichtigen Aspekt im Zusammenhang mit modernen Gebäude- und Campusnetzen zuzuwenden.

Internet-Modell oder ein anderes?

Das fast ein halbes Jahrhundert alte Internet basiert auf einem Modell, in dem ein beliebig komplexes Netz ein Abbild der granularen Netzeinheit „Router“ ist. Dies bedeutet, das halbe Internet funktioniert so wie das Ganze. Und wenn man die Hälfte wieder in zwei Hälften aufteilt, funktionieren sie nach demselben Prinzip wie das Ganze. Dieses Modell kann es nur geben, wenn alle Netzfunktionen auch in der granularen Einheit Router vorhanden sind. Ein Router, der von allen anderen Routern abgeschnitten ist, funktioniert weiter, natürlich unter der Einschränkung, dass Ziele, die nur über andere Router erreichbar waren, nicht mehr erreichbar sind.

Dazu muss ein Router sowohl die automatische Steuerung der Netzfunktionen („Control Plane“) als auch die Weiterleitung von Daten („Data Plane“) beherrschen. Die Steuerungsebene deckt solche Funktionen ab wie Austausch von Erreichbarkeitsinformationen mit anderen Routern. Die Datenebene sorgt sich um die Weiterleitung von Paketen. Die Funktionen der beiden Ebenen sind auf alle atomaren Bestandteile des Netzes verteilt.

Abbildung 1: Verteilte versus zentrale Steuerung des Netzes

Das Modell der verteilten Steuerung ist nicht nur die Grundlage des Internet, sondern die Basis aller das Internet Protocol (IP) unterstützenden Router-Komplexe, aller Netze gemäß den Ethernet-Standards und aller MPLS-Infrastrukturen.

Neben der verteilten Steuerung gibt es aber ein anderes Hauptmodell für Netze, wie in der Abbildung 1 dargestellt. Die Netzsteuerung kann auch zentralisiert werden, wie dies in einem Wireless Local Area Network (WLAN) mit wenigen Controllern erfolgt, die viele Access Points steuern.

Abgesehen vom WLAN wurden Unternehmensnetze jahrzehntelang nach dem Modell der verteilten Steuerung aufgebaut. Dies gilt sowohl für Layer-3-Netze (Router-Netze) als auch für Layer-2-Netze (Switch-Netze, früher Hub-Netze).

Seit ungefähr 10 Jahren ist der Begriff Software-Defined Network (SDN) im Umlauf. Ein SDN ist ein Netz, in dem die Steuerung des Netzes Software-Komponenten obliegt. Die gängigste Interpretation des Begriffs SDN sieht vor, dass die Steuerungsebene zentralisiert wird. Man spricht von Controllern, die für die zentrale Steuerung des Netzes zuständig sind.

Einige herstellerspezifische Lösungen für Mandantenfähigkeit sehen die zentrale Steuerung des Netzes durch Controller vor. Leider haben sich SDN-Standards wie Open Flow in Unternehmensnetzen nicht durchgesetzt. So bedeutet das SDN-Modell in Unternehmensnetzen fast immer, auf eine herstellerspezifische Lösung zu setzen. Eine solche Lösung mag technische Vorteile haben. So ist es bei jeder herstellerspezifischen Lösung. Mehr über solche Lösungen können Sie im Artikel meines Kollegen Hojnacki in dieser Ausgabe nachlesen.

Viele Leserinnen und Leser kennen meine persönliche Meinung dazu. In kurzen Worten: Ich bin für herstellerunabhängige Standards und die verteilte Steuerung des Netzes nach dem Internet-Modell. Diese Meinung stelle ich gerne zur Diskussion, so zum Beispiel bei der Winterschule der ComConsult Akademie am 2.12.2019 in Aachen. Aber Sie sollten sich nicht mit der Meinung eines Einzelnen zufriedengeben. Deshalb haben wir das Design mandantenfähiger Unternehmensnetze auf die Agenda des ComConsult Netzwerk-Forums vom 23. bis 26. März 2020 in Königswinter gesetzt. Dort haben Sie die Gelegenheit, mit Experten von ComConsult und Herstellern über das optimale Design für Ihr Netz zu diskutieren. Wir freuen uns auf Ihre Teilnahme.